[Lista ArNOG] ddos port 23 y 2323
Ivan Chapero
info en ivanchapero.com.ar
Jue Nov 23 16:50:04 ART 2017
Estimados una duda, es claro que el firmware es vulnerable pero:
- los puertos TCP 23 y 2323 son puertos "destino" de ataques que genera un
modem ADSL ya vulnerado.
- por esto posiblemente mañana sea el 666 o cualquier otro aleatorio que
decida la botnet.
- ¿se puede identificar el puerto de control y comando? Dado que esto es lo
que tendríamos que cortar.
- ¿dieron con algún CVE del caso?. No encontré.
El 23 de noviembre de 2017, 16:29, Ing. Mario Clep <
marioclep en mkesolutions.net> escribió:
> Diego, por esas casualidades el destino es 172.93.97.219?
>
> Tengo muchas conexiones TCP SYN don destino 172.93.97.219:7645
> ᐧ
>
> Saludos y estamos en contacto!
>
> [image: photo]
> *Ing. Mario Clep*
> CTO, MKE Solutions
> Tel: +54 358 4210029 <Tel:%20+54%20358%204210029> | info en mkesolutions.net
> | http://www.mkesolutions.net | http://www.AcademiaDeEntrenamientos.com
> <http://www.academiadeentrenamientos.com/> | Paraná 416, Río Cuarto,
> Córdoba, Argentina
> <http://facebook.com/mkesolutions> <http://twitter.com/mkesolutions>
> <http://us.linkedin.com/in/mke-solutions>
>
> ¿Interesado en *Soporte IT Mensual*? Conozca más sobre nuestro modelo de
> OutSourcing. <https://www.mkesolutions.net/soporte/>
>
>
> 2017-11-23 16:04 GMT-03:00 Diego Weinstein <diegow en netlabs.com.ar>:
>
>> Logré captar que el modem manda paquetes con destino puerto 7645, y luego
>> de eso manda flood a puertos 80 y 443, entonces logré mitigar poniendo
>> reglas sobre la interfaz que viene de los módems:
>>
>>
>>
>> deny tcp from any to any dst-port 7645
>>
>>
>>
>> también sobre la interfaz que viene de los modems:
>>
>>
>>
>> deny udp from any 1900 to any
>>
>> deny tcp from any to any dst-port 23,2323,7547
>>
>>
>>
>> Con estas reglas se estabilizó, no es una solución, habrá que actualizar
>> los firmwares, pero mitigó el problema por el momento.
>>
>>
>>
>> Slds,
>>
>>
>>
>> *Netlabs IT Solutions ©*
>>
>> *Diego Weinstein | Research & Development*
>>
>> diegow en netlabs.com.ar | Tel: +54 (11) 5199-2266 int 11
>> <+54%2011%205199-2266> | www.netlabs.com.ar
>>
>>
>>
>>
>>
>> *De:* lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] *En
>> nombre de *Ing. Mario Clep
>> *Enviado el:* jueves, 23 de noviembre de 2017 15:43
>>
>> *Para:* lista en arnog.com.ar
>> *Asunto:* Re: [Lista ArNOG] ddos port 23 y 2323
>>
>>
>>
>> Por si les sirve de algo, tengo un cliente que tiene una red completa con
>> estos equipos. Por el momento, lo único que puedo ver (estoy remotamente y
>> se reinicia el server a cada rato) es que hay tráfico de todos los adsl
>> hacia la red 200.196.0.0/16 (seguramente es más específico). Le hice un
>> drop a esa red y al menos ahora se estabilizó. Me voy a poner a hacer
>> pruebas con mayores detalles, pero al menos la red está normalizada.
>>
>> ᐧ
>>
>>
>> Saludos y estamos en contacto!
>>
>>
>>
>> [image: photo]
>>
>> *Ing. Mario Clep*
>> CTO, MKE Solutions
>>
>> Tel: +54 358 4210029 <Tel:%20+54%20358%204210029> | info en mkesolutions.net
>> | http://www.mkesolutions.net | http://www.AcademiaDeEntrenamientos.com
>> <http://www.academiadeentrenamientos.com/> | Paraná 416, Río Cuarto,
>> Córdoba, Argentina
>>
>> <http://facebook.com/mkesolutions> <http://twitter.com/mkesolutions>
>> <http://us.linkedin.com/in/mke-solutions>
>>
>>
>>
>> ¿Interesado en *Soporte IT Mensual*? Conozca más sobre nuestro modelo de
>> OutSourcing. <https://www.mkesolutions.net/soporte/>
>>
>>
>>
>>
>>
>> 2017-11-23 9:54 GMT-03:00 Diego Weinstein <diegow en netlabs.com.ar>:
>>
>> Gracias a todos!
>>
>>
>>
>> *Netlabs IT Solutions ©*
>>
>> *Diego Weinstein | Research & Development*
>>
>> diegow en netlabs.com.ar | Tel: +54 (11) 5199-2266 int 11
>> <+54%2011%205199-2266> | www.netlabs.com.ar
>>
>>
>>
>>
>>
>> *De:* lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] *En
>> nombre de *Pablo Fernandez - Cooperativa Electrica de Lujan
>> *Enviado el:* jueves, 23 de noviembre de 2017 09:45
>> *Para:* lista en arnog.com.ar
>> *Asunto:* Re: [Lista ArNOG] ddos port 23 y 2323
>>
>>
>>
>> Diego buen día, es un bug en los módems ADSL Huawei mod HG532s con
>> firmware de Telefónica!!
>>
>>
>>
>> Hay que actualizarles el firmware a otra versión que no sea la que trae
>> por TASA!
>>
>>
>>
>> Saludos
>>
>>
>>
>> *De:* lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] *En
>> nombre de *Diego Weinstein
>> *Enviado el:* jueves, 23 de noviembre de 2017 09:11 a. m.
>> *Para:* lista en arnog.com.ar
>> *Asunto:* [Lista ArNOG] ddos port 23 y 2323
>>
>>
>>
>> Buen día, estamos detectando muchos ataques ddos desde módems adsl hacia
>> puertos 23 y 2323 mayormente, lo venimos paliando bloqueando las
>> conexiones, alguien tiene una solución más definitiva? O un análisis
>> cerrado o en proceso al que me pueda sumar?
>>
>>
>>
>> *Diego Weinstein*
>> *Research & Development*
>> *diegow en netlabs.com.ar <diegow en netlabs.com.ar>*
>> Tel: +54 (11) 5199-2266 int 11 <+54%2011%205199-2266>
>> Cel:+54 9 (11) 6299-9666 <+54%209%2011%206299-9666>
>> www.netlabs.com.ar
>>
>> [image: Descripción: C:\Users\diegow\Downloads\logo02.jpg]
>>
>>
>>
>>
>>
>>
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>>
>>
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
--
*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20171123/e71479c2/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 24115 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20171123/e71479c2/attachment-0001.jpg>
Más información sobre la lista de distribución Lista